Hauptanalyse
Sicherheit & Risiko5 Min.

CISA fügt 2008er Schwachstelle in Cisco IOS zum Katalog aktiver Ausnutzung hinzu

Roteador Cisco 871 empoeirado em prateleira de closet de telecomunicações sob luz fluorescente, com cabo ethernet ainda conectado.

CVE-2008-4128 tritt 18 Jahre später wieder ins Radar: Die administrative HTTP-Schnittstelle in veralteten Cisco 871-Routern generiert weiterhin ausnutzbare CSRF-Ketten in großem Maßstab.

Die CISA hat am Montag (13.) die Schwachstelle CVE-2008-4128 zum Katalog für bekannt ausgebeutete Schwachstellen hinzugefügt, dem amerikanischen Bundesregister für Schwachstellen mit Beweisen für aktive Ausnutzungen. Die Lücke ist eine Kette von Cross-Site Request Forgery (CSRF) in der administrativen HTTP-Schnittstelle von Cisco IOS 12.4, die in den Cisco 871 Integrated Services Routern vorhanden ist und 18 Jahre nach der ursprünglichen Veröffentlichung weltweit immer noch in Betrieb ist.


Der Angriff nutzt spezifische URI-Aufrufe der administrativen Schnittstelle aus. Ein Angreifer, der es schafft, einen authentifizierten Administrator dazu zu bringen, eine bösartige Seite zu besuchen, führt Befehle wie show privilege und alias exec auf dem Gerät ohne zusätzliche Authentifizierung aus, was die Angriffsfläche für Privilegienerhöhung und Remote-Rekonfiguration öffnet. Laut der Advisory der CISA ist der Vektor häufig bei opportunistischen Scans gegen veraltete Edge-Router anzutreffen, und das beobachtete Muster deutet auf eine Wiederverwendung in aktuellen Kampagnen hin.


Warum eine Schwachstelle von 2008 2026 zurückkommt


Der Cisco 871 wurde vor mehr als einem Jahrzehnt eingestellt. Dennoch überlebt der weltweite Installationsstamm in Filialen kleiner und mittlerer Unternehmen, bei regionalen Last-Mile-Anbietern und vor allem in Betriebstechnologie-Umgebungen (OT), wo der Austausch von Wartungsfenstern abhängt. Gemäß der Binding Operational Directive 22-01 haben US-amerikanische Bundesbehörden eine Standardfrist von drei Wochen zur Behebung, nachdem ein Element in das KEV aufgenommen wurde. Außerhalb der US-Regierung wird das Register zu einem vertraglichen Auslöser für Audits, Cyber-Versicherungspolicen und MSSP-Verträge weltweit.


Der Fall erweitert ein Muster, das CISOs seit letztem Jahr besorgt. Alte CVEs kommen zurück in den Ausnutzungszyklus, weil die Hardware nicht aus dem Verkehr gezogen wird. Cisco hat keinen neuen Patch für CVE-2008-4128 veröffentlicht, und die offizielle Minderung bleibt darin bestehen, die administrative HTTP-Schnittstelle (no ip http server) zu deaktivieren, die Verwaltung auf HTTPS/SSH zu migrieren und den Zugriff über ACLs zu beschränken. In Umgebungen, die auf die Webschnittstelle angewiesen sind, um Skripte zu verwalten, bedeutet dies, Automatisierungen, die seit einem Jahrzehnt laufen, neu zu schreiben.


Praktische Auswirkungen in New York, Frankfurt und São Paulo


In den Vereinigten Staaten schafft die Aufnahme in das KEV eine sofortige Verpflichtung für die zivilen Bundesbeamten. Unter der neuen Binding Operational Directive 26-04, die im Mai veröffentlicht wurde, müssen die Behörden jeden Eintrag innerhalb von 48 Stunden in die Risikobewertung integrieren und die Behebung im Dashboard der CISA melden. Für den Bundes-CISO ist die operative Linie bereits klar: das Inventar nach Cisco 871 durchsuchen, überprüfen, ob das HTTP-Admin eingeschaltet ist, die Minderung anwenden oder ersetzen.


In Deutschland behandelt das BSI seit 2023 amerikanische Warnungen des KEV als faktische Referenz, jedoch ohne entsprechende rechtliche Verpflichtung. Regionale Banken und Sparkassen mit Filialen kauften in den 2000er Jahren historisch Cisco 871, und die KEV-Aktualisierung wird zum Input für die DORA-Resilienztests, die seit Januar für den europäischen Finanzsektor verpflichtend sind. OT-Betreiber im Energiebereich, in Spanien und Italien, fallen in den gleichen Rahmen.


In Brasilien behandeln CTIR Gov und ANPD KEV-Einträge als technische Referenz mit wenig Automatisierung in großen privaten Unternehmen. Der wirkliche Schmerzpunkt liegt bei mittelgroßen MSPs, die den Einzelhandel und Kreditgenossenschaften bedienen, wo der Cisco 871 in Verkaufsstellen und ländlichen Filialen überlebt hat. PCI DSS 4.0-Auditoren fordern bereits explizite Nachweise über die Minderung jeder im KEV aufgeführten CVE in vierteljährlichen Berichten.


Was der CISO jetzt tun sollte


Drei operationale Schritte. Zuerst eine aktive Durchsuchung nach Cisco 871 und IOS 12.4 im Inventar. Zweitens, das Deaktivieren von ip http server in jeder verbleibenden Instanz und die Übertragung der Verwaltung auf SSH, eingeschränkt durch ACL. Drittens, die Überwachung des Ausgangs für bekannte URI-Aufrufe des Exploits zu verstärken und das SIEM mit spezifischen IOCs zu speisen.


Die zugrunde liegende Warnung betrifft nicht eine CVE von 2008. Sie handelt von einem Datenstrom, bei dem die angreifbare Oberfläche kein neues Firmware ist, sondern das Kit, das niemand austauscht. Während die Anbieter neue Linien für das Rechenzentrum drücken, kehren Angreifer zum alten Unternehmensperimeter zurück, wo die politischen Kosten für den Austausch von Geräten hoch bleiben und der Wartungszyklus der gleiche bleibt.

Hauptanalyse
CISA fügt 2008er Schwachstelle in Cisco IOS zum Katalog aktiver Ausnutzung hinzu | The New Times